Instagram bug allowed crashing the app via image sent to device

ช่องโหว่บน Instagram ที่จะทำให้แฮกเกอร์สามารถเข้าถึงโทรศัพท์ของผู้ใช้ได้จากระยะไกล

Gal Elbaz นักวิจัยของ Check Point ได้เปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ที่สำคัญในแอปพลิเคชัน Instagram สำหรับ Android และ iOS โดยช่องโหว่จะทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงอุปกรณ์และเข้าความคุมบัญชี Instagram และโทรศัพท์ของผู้ใช้ได้จากระยะไกล

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-189 เป็นช่องโหว่ heap buffer overflow ที่อยู่ในการประมวลผลรูปภาพ ช่องโหว่เกิดจากเมื่อ Instagram ใช้ third-party โค้ดที่ชื่อ Mozjpeg ซึ่งเป็นไลบรารีตัวเข้ารหัส JPEG แบบโอเพนซอร์สซึ่งมีจุดมุ่งหมายเพื่อลดแบนด์วิดท์และให้การบีบอัดที่ดีขึ้นสำหรับรูปภาพที่อัปโหลด ซึ่ง Check Point พบว่าฟังก์ชันการจัดการขนาดรูปภาพเมื่อแยกวิเคราะห์ภาพ JPEG มีข้อผิดพลาดที่ทำให้เกิดปัญหา integer overflow ระหว่างกระบวนการคลายการบีบอัด โดยสิ่งนี้จะทำให้ผู้โจมตีสามารถส่งรูปที่ถูกสร้างมาเป็นพิเศษไปยังเหยื่อ เช่นทางอีเมล, WhatsApp, SMS หรือบริการส่งข้อความอื่นๆ ซึ่งเมื่อผู้ใช้ทำการบันทึกรูปภาพและเปิดแอป Instagram การใช้ประโยชน์จากช่องโหว่จะเริ่มขึ้นทำให้ผู้โจมตีสามารถเข้าถึงบัญชี Instagram ของผู้ใช้, โทรศัพท์ของผู้ใช้ได้จากระยะไกลและยังสามารถทำให้แอป Instagram ของผู้ที่ตกเป็นเหยื่อ Crash ได้เว้นเเต่ผู้ใช้จะทำการลบทิ้งแล้วติดตั้งใหม่

นอกเหนือจากนี้ผู้โจมตียังสามารถใช้ประโยชน์จากช่องโหว่นี้ทำการสอดเเนมผู้ใช้เนื่องจาก Instagram มีสิทธิ์การเข้าถึงมากมายในอุปกรณ์ซึ่งรวมถึงการเข้าถึงรายชื่อ, ที่เก็บข้อมูล, ตำแหน่งอุปกรณ์, กล้องและไมโครโฟน

หลังจากพบช่องโหว่ Check Point ได้ทำการแจ้ง Facebook เพื่อเเก้ไขช่องโหว่แล้ว ทั้งนี้ผู้ใช้ควรทำการอัปเดตแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer.